从 npm 版本看
package-lock.json 是 npm 5 的新特性,也不向前兼容,如果 npm 版本是 4 或以下,那还是使用 npm-shrinkwrap.json 吧
从 npm 处理机制来看
- 在一个项目里,如果本身不存在这两个文件,那么在运行 npm install 时,会自动生成一个 package-lock.json ,或者在初始化一个项目 npm init 时,也会生成 package-lock.json ,安装信息会依据该文件进行,而不是单纯按照 package.json ,这两个文件的优先级都比 package.json 高
- 如果项目两个文件都存在,那么安装的依赖是依据 npm-shrinkwrap.json 来的,而忽略 package-lock.json
- 运行命令 npm shrinkwrap 后,如果项目里不存在 package-lock.json ,那么会新建一个 npm-shrinkwrap.json 文件,如果存在 package-lock.json ,那么会把 package-lock.json 重命名为 npm-shrinkwrap.json
从文件更新来看
- npm-shrinkwrap.json 只会在运行 npm shrinkwrap 才会创建/更新
- package-lock.json 会在修改 pacakge.json 或者 node_modules 时就会自动产生或更新了。
从发布包来看
- package-lock.json 不会在发布包中出现,就算出现了,也会遭到 npm 的无视。
- npm-shrinkwrap.json 可以在发布包中出现